BLOCO
Blog dos Coordenadores ou Blog Comunitário
da ComUnidade WirelessBrasil

Dezembro 2008               Índice Geral do BLOCO

O conteúdo do BLOCO tem forte vinculação com os debates nos Grupos de Discussão  Celld-group e WirelessBR. Participe!

19/12/08

• Crimes Digitais (45) - Msg de José Henrique Portugal sobre o "armazenamento dos dados de conexão" previsto no PL

----- Original Message -----
From: Helio Rosa
To: Celld-group@yahoogrupos.com.br ; wirelessbr@yahoogrupos.com.br
Sent: Friday, December 19, 2008 10:26 AM
Subject: Crimes Digitais (45) - Msg de José Henrique Portugal sobre o "armazenamento dos dados de conexão" previsto no PL
 
Olá, ComUnidade WirelessBRASIL!

01.
O "Serviço ComUnitário" continua no "estudo conjunto/debate" para entender melhor o "Projeto de Lei sobre Crimes Digitais" e sua adequação à realidade.
 
Mais abaixo transcrevemos os comentários de José Henrique Portugal sobre as colocações de José Smolka.
 
02.
A proposta deste Debate é estudar o texto do citado PL.
Este estudo é oportuno pois o Projeto está em fase final de tramitação na Câmara dos Deputados.

Começamos pelos artigos considerados polêmicos e demos a partida com o Art. 22 pois temos muitos "provedores de acesso" em nossos Grupos.
Apesar da pequena repercussão nos fóruns, houve muita interação em "pvt" e estão todos atentos!  :-)
 
Ao mesmo tempo, novos dispositivos legais entram em vigor ou tramitação, relacionados aos "provedores de acesso".
Tudo que aprendemos aqui será utilizado na avaliação destas novas iniciativas do Congresso.
 
A CPI da Pedofilia, entre outros, produziu estes resultados:

- LEI Nº 11.829, DE 25 DE NOVEMBRO DE 2008 que alterou o Estatuto das Crianças e dos Adolescentes;

- TERMO DE MÚTUA COOPERAÇÃO QUE ENTRE SI CELEBRAM PRESTADORAS DE SERVIÇOS DE TELECOMUNICAÇÕES, DE PROVIMENTO DE ACESSO À INTERNET E DE SERVIÇOS DE CONTEÚDO E INTERATIVOS NA INTERNET;
 
- PLS sobre obrigações do provedores e que "Disciplina a forma, os prazos e os meios de preservação e transferência de dados informáticos mantidos por fornecedores de serviço a autoridades públicas, para fins de investigação de crimes praticados contra crianças e adolescentes, e dá outras providências" (Senador Magno Malta).

Este último item ainda não foi divulgado pela mídia mas já temos o texto; trata-se de um novo PLS - Projeto de Lei do Senado, com origem na "CPI da Pedofilia", que o José Henrique Portugal teve a cortesia de nos enviar, junto com o "termo de cooperação mútua".
Estamos formatando para divulgação numa próxima mensagem.
Obrigado, Portugal!
 
Assim, o debate sobre o Art. 22 continua aberto mas, na próxima mensagem iniciaremos o estudo dos Arts. 258-A e 258-B.

Sobre o Art. 22 já tenho uma opinião formada, independente de outras considerações:
- ele não "exige que todos os provedores de acesso à Internet se tornem delatores de seus usuários" (do texto da Petição)
- o "negócio" do provedor não é inviabilizado pela obrigatoriedade de um banco de "registros de acesso"  com a estrutura especificada no texto.
 
Na última mensagem divulgamos a "mini-biografia" do Smoka a título de apresentação genérica.  :-)
 
Na web encontramos esta sobre o Portugal:

José Henrique Santos Portugal (PORTUGAL@senado.gov.br) é assessor técnico do Senado Federal e serve no Gabinete do senador Eduardo Azeredo (PSDB/MG) desde junho de 2003.
Foi diretor do Serpro de 2000 a 2003.
Antes desse período atuou como consultor para Novos Negócios da Belgo Mineira Sistemas; foi secretário adjunto da Secretaria de Logística e Tecnologia da Informação (SLTI) no Ministério do Orçamento e Gestão (MOG); exerceu cargo de secretário geral do Governo de Minas Gerais entre 1995 e 1998; foi superintendente de Informática da Prefeitura de Contagem (MG) e também coordenador de Desenvolvimento Tecnológico da Prodabel (empresa de informática da Prefeitura de Belo Horizonte), além de ter sido presidente da Sucesu-MG em duas ocasiões, bem como da Sucesu Nacional, e da Associação Brasileira das Entidades Municipais de Informática (Asbemi).
 
Boa leitura!
Boas Festas!
Ótimo 2009!
Um abraço cordial
Helio Rosa
 
----------------------------------------------------
 
----- Original Message -----
From: Jose Henrique Santos Portugal
To: Helio Rosa
Cc: Isabella Duarte Tavares
Sent: Tuesday, December 16, 2008 5:31 PM
Subject: RES: Crimes Digitais (43) - Msg de José Smolka sobre o "armazenamento dos dados de conexão" previsto no PL
 
Caro Hélio
 
Sobre a mensagem do José Smolka tenho estes comentários:
 
1 - não há pedido no PL de identificador do usuário, ficando a critério de cada provedor de rede (ou do regulamento) o que guardar na gravação;.
 
2 - sim, o art. 22 pode parecer pouco, mas não inconsistente, veja que o mundo inteiro faz assim, pois há que respeitar os ditames constitucionais de privacidade, sem mapear navegação ou qualquer conteúdo como o próprio Smolka reconhece (art. 5º da CF inciso X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;), mas isto atende à ação da autoridade investigatória, seja a Polícia seja o Ministério Público, que chega ao primeiro local.

A partir dai, tendo em mãos um caso concreto ou quase evidente, pode fazer a requisição judicial de outros dados conforme o inciso II do art. 22, mas apenas daquele caso e o crime é a exceção, e muita exceção.
 
Como ex-chefe de TI em diversas e diferentes organizações posso assegurar que a soma de indícios ajuda muito. A cada bloqueio ou pequena investigação aparecem novas evidências que o tirocínio investigatório vai ajudando a elucidar.
 
3 - Nas questões das redes wifi ou dos "pés de chinelo" a polícia ou a promotoria não vê diferença pois o criminoso sempre volta ao local mais fácil para uma segunda oportunidade ou comete um crime semelhante em outro local ou é serial. Quanto mais "eficiente e eficaz" mais vaidoso o criminoso o é. E o demonstra seja por evidências financeiras, presentes, carros, barcos, sítios, festas, jóias, falastronices, comportamentos fora do padrão social local.
Não sou policial nem promotor e acredito que nem o Smolka o seja.
Talvez fosse melhor consultarmos um delegado ou um promotor.
 
Estamos avançando. Parabéns.
 
José Henrique Portugal
31 9981 2848    61  8111 4386
 

De: Helio Rosa [mailto:rosahelio@gmail.com]
Enviada em: terça-feira, 16 de dezembro de 2008 16:22
Para: Celld-group@yahoogrupos.com.br; wirelessbr@yahoogrupos.com.br
Assunto: Crimes Digitais (43) - Msg de José Smolka sobre o "armazenamento dos dados de conexão" previsto no PL
 
Olá, ComUnidade WirelessBRASIL!
 
O "Serviço ComUnitário" continua no esforço para entender melhor o "Projeto sobre Crimes Digitais" e sua adequação à realidade. 
 
Obrigado, José Smolka, pela preciosa colaboração! (mensagem abaixo)

Smolka, nós já o conhecemos de longa data mas, como esta mensagem vai para nosso BLOCO e também para alguns destinatários interessados em nosso debate, permito-me reproduzir aqui seu mini-currículo anotado no website com suas mensagens mantido pela ComUnidade:

 José de Ribamar Smolka Ramos (smolka@terra.com.br) é engenheiro eletricista (UFBa 1982), com especialização em gestão da qualidade (CETEAD/UFBa 1994) e MBA executivo (FGV RJ/Grupo Telefonica 2001). Trabalha na área de Informática desde 1980, tendo atuado em empresas das áreas financeira, industrial e serviços, estando desde 1989 na área de telecomunicações. Área principal de interesse: projeto, implantação e gestão operacional da infraestrutura e serviços de comunicação baseados na arquitetura TCP/IP. Atualmente é especialista técnico na Diretoria de Planejamento e Tecnologia da Vivo S/A.
 
Vamos às opiniões técnicas dos provedores!
 
Olá, "Todos"! 
Ao debate! :-)
 
Boa leitura!
Boas Festas! Ótimo 2009!
Um abraço cordial
 Helio Rosa
 
-------------------------------------------------
 
----- Original Message -----
From: José de Ribamar Smolka Ramos
To: wirelessbr@yahoogrupos.com.br
Sent: Tuesday, December 16, 2008 2:08 PM
Subject: [wireless.br] Re: Crimes Digitais (42) - Msgs de Chiaradia, Smolka, Nacinovic e Portugal + 02 notícias --> Fw: "Historinha" para entender o Art. 22 ...
 
Oi Hélio,
 
Alguns posts atrás me lembro que vc transcreveu (ou apenas comentou, não tenho certeza) uma observação do José Henrique Portugal, que os dados de conexão a armazenar, de acordo com o previsto no inciso I, representavam pouca coisa em termos de bytes.
 
E vc transcreveu agora uma mensagem do Luiz Nacinovic, da qual destaco um trecho:
 
O problema não é a quantidade de bits ou bytes a serem armazenados. O problema é modelar o banco de dados para a finalidade. O art.22 obrigará todos os provedores a acertarem a hora por um relógio atômico central, no sentido de que hora, data e referência GMT sejam únicas. Qualquer diferença alimentará questões judiciais.
 
Em termos gerais o José Henrique está certo, porque são mesmo poucos bytes.
Vamos supor o caso mais simples para o armazenamento dos dados de conexão previsto pelo inciso I: arquivo flat, registros CSV, formato ASCII. Então cada registro de conexão terá:
 
Data do início da conexão no formato AAAAMMDD (8 bytes) + separador (1 byte);
Hora GMT do início da conexão no formato HHMMSS (6 bytes) + separador (1 byte);
Data do final da conexão no formato AAAAMMDD (8 bytes) + separador (1 byte);
Hora GMT do final da conexão no formato HHMMSS (6 bytes) + separador (1 byte);
Identificador do usuário - variável, conforme a prática de cada ISP (vamos supor 10 bytes) + separador (1 byte)
Endereço IP atribuído ao usuário (4 ou 16 bytes, dependendo se for IPv4 ou IPv6) + fim de registro (1 byte)

Então temos cerca de 60 bytes por conexão, o que não é muito. Os problemas da hora GMT e do formato do BD que vai ser montado com estes dados não são críticos, porque:
(a) a hora GMT de início e fim da conexão podem ser obtidas por queries ao serviço NTP (Network Time Protocol) (existem vários abertos ao público na Internet) - o que não quer dizer que não vá dar algum trabalho adaptar os procedimentos de login e logout dos usuários para garantir que os registros das conexões sejam efetivamente gravadas; e
(b) não é realmente obrigação do ISP-Internet Service Provider (de acordo com o inciso I) ter estes dados em um RDBMS (Relational Database Management System) - tê-los em formato texto já é suficiente, quem tem que se preocupar em como harmonizar os dados para consulta posterior são as autoridades (se e quando elas vierem a requisitá-los).
 
Mas existe, sim, uma inconsistência lógica no pedido de guarda destes dados pelo ISP. Creio que alguém achou que dava para fazer na Internet uma analogia com o serviço telefônico. Não dá.
 
Uma operadora de telefonia guarda os CDRs (Call Detail Records) das chamadas feitas pelos assinantes, primeiramente por razões de tarifação (é dali que se extraem os dados para gerar a conta), e depois para servir de suporte a investigações autorizadas pela justiça, porque estes registros contém data/hora das chamadas e identificam as partes (números dos telefones) envolvidas na conversação. Claro que não dá pra saber o que foi falado, mas sabe-se com quem a conversa ocorreu, o que já é suficiente para dar um bocado de pistas para a investigação.
 
Só que os registros "pseudo-CDR" para o ISP, como o exemplo que eu descrevi acima, não dizem isto. Eles apenas mostram que alguém que conhece o userid/senha corretos de um determinado usuário esteve "logado" na rede em um determinado período de tempo. E isto não é nem mesmo prova suficiente que o(a) legítimo(a) detentor(a) do par userid/senha utilizado era quem estava usando a conexão.
 
Estes registros não mostram nada sobre que sites foram visitados, que arquivos foram baixados, e o que mais o usuário tenha feito durante aquela conexão. Ou seja, não ajuda em nada uma investigação. E não adianta dizer que ele prova que o usuário tinha um determinado endereço IP que vai ser "cruzado" com os dados de acesso obtidos em outro site. Dependendo das circunstâncias, endereços IP podem ser forjados (e os delinquentes realmente bons sabem muito bem como fazer isto).
 
Então concluo que: ou estes dados não vão servir para nada, ou vão servir somente para prender delinquentes "pé-de-chinelo". Considerando esta relação custo (embora não tão significativo, ainda assim real, para os ISPs) versus benefício (limitado ou nulo para as autoridades), será que isto realmente é uma boa idéia?
 
Ah sim! E voltando à questão de quem realmente estava "logado", aumentando o registro da conexão (mais bytes, nem todos simples para o ISP conseguir dinamicamente) com dados que registrem o meio físico utilizado na conexão (ex.: número associado a linhas xDSL, MIN de aparelhos celulares, etc.), ainda assim o que se prova é que a conexão foi feita a partir de algum local específico, mas ainda não se tem certeza que a pessoa usando o acesso era o seu legítimo detentor.
 
Aliás, como já foi mencionado em outro post, se eu quisesse delinquir a primeira coisa que eu ia fazer era descobrir (via war driving) redes WiFi (domésticas ou corporativas) desprotegidas ou mal-protegidas, e usá-las para encaminhar o meu tráfego ilícito. Se der rolo depois, vai ser problema do legítimo detentor da rede provar que ele não tem nada a ver com o peixe. Eu já vou estar longe, e seguro.
 
[ ]'s
 
J. R.Smolka
 

ComUnidade WirelessBrasil                     Índice Geral do BLOCO